Sáu công cụ được sử dụng bởi Hacker nhằm đánh cắp Cryptocurrency

sau-cong-cu-duoc-su-dung-boi-hacker-de-an-cap-cryptocurrency-cach-bao-ve-wallet-2

Vào đầu tháng 7, đã có báo cáo rằng Bleeping Computer phát hiện hoạt động với mục tiêu lừa đảo 2.3 triệu Bitcoin từ wallet. Hacker sử dụng phần mềm “clipboard hijackers” hoạt động trong clipboard và có khả năng thay thế địa chỉ wallet thành wallet của hacker.

Mối đe dọa từ các hacker đã được dự đoán bởi Kaspersky Lab vào đầu tháng 11 năm ngoái và chúng đã không mất quá nhiều thời gian để trở thành hiện thực. Hiện tại, đây là một trong những loại tấn công phổ biến nhất nhằm mục đích đánh cắp thông tin hoặc tiền của người dùng, với tổng tỷ lệ tấn công vào tài khoản cá nhân và wallet ước tính chiếm khoảng 20% ​​tổng số các cuộc tấn công bằng phần mềm mã độc và có lẽ sẽ không dừng lại ở con số 20%. Vào ngày 12 tháng 7, Cointelegraph đã công bố báo cáo của Kaspersky Lab, cho biết bọn tội phạm có thể đã ăn cắp hơn $9 triệu Ethereum (ETH) trong năm qua.

sau-cong-cu-duoc-su-dung-boi-hacker-de-an-cap-cryptocurrency-cach-bao-ve-wallet-2

Tóm tắt vấn đề

Bleeping Computer portal đã nói về tầm quan trọng của việc tuân theo ít nhất một số quy tắc cơ bản để đảm bảo mức độ an ninh:

Hầu hết các vấn đề hỗ trợ kỹ thuật đều không nằm trong máy tính. Nhưng thực tế là người dùng không biết 'các khái niệm cơ bản' làm nền tảng cho mọi vấn đề về tính toán. Những khái niệm này bao gồm phần cứng, tệp, thư mục, hệ điều hành, internet và ứng dụng.

Quan điểm tương tự được chia sẻ bởi nhiều chuyên gia về tiền mã hoá. Một trong số đó là Ouriel Ohayon - một nhà đầu tư và doanh nhân - đặt trọng tâm vào trách nhiệm cá nhân của người dùng trong một bài blog ở Hackernoon:

Bạn đang kiểm soát tài sản của riêng mình, nhưng cái giá phải trả là bạn phải chịu trách nhiệm về sự bảo mật của riêng bạn. Và vì hầu hết mọi người không phải là chuyên gia bảo mật, nên chúng thường bị lộ. Tôi luôn ngạc nhiên khi thấy xung quanh tôi có rất nhiều người, kể cả những người am hiểu công nghệ cao, không thực hiện các biện pháp bảo mật cơ bản.

Theo Lex Sokolin - giám đốc chiến lược fintech tại Autonomous Research- phát biểu rằng: hàng năm, hàng nghìn người trở thành nạn nhân của các trang web nhân bản và lừa đảo, họ tự nguyện gửi cho những kẻ gian lận $200 triệu tiền mã hoá và không bao giờ được trả lại.

Hacker sử dụng lỗ hổng chính trong hệ thống để tấn công các crypto wallet. Đó là sự thiếu chú ý và kiêu ngạo của con người. Hãy xem cách họ làm điều đó và cách người ta có thể bảo vệ tiền của họ.

250 triệu nạn nhân tiềm năng

Một nghiên cứu được thực hiện bởi công ty Foley & Lardner của Mỹ cho thấy rằng 71% các nhà giao dịch tiền mã hoá lớn và các nhà đầu tư xem trộm cắp tiền mạ hoá là rủi ro cao nhất ảnh hưởng tiêu cực đến thị trường. 31% số người được hỏi đánh giá mức độ đe dọa hoạt động từ hacker đối với ngành công nghiệp tiền mã hoá toàn cầu là rất cao.

sau-cong-cu-duoc-su-dung-boi-hacker-de-an-cap-cryptocurrency-cach-bao-ve-wallet-2

Các chuyên gia từ Hackernoon đã phân tích dữ liệu về các cuộc tấn công trong năm 2017, điều này có thể được chia thành ba phân đoạn lớn:

  • Tấn công vào các blockchain, sàn giao dịch crypto và ICO
  • phần mềm khai thác ẩn
  • Tấn công hướng vào wallet của người dùng

Theo nghiên cứu do ING Bank NV và Ipsos thực hiện - không xem xét khu vực Đông Á trong nghiên cứu - khoảng 9% người châu Âu và 8% người Mỹ sở hữu crypto, với 25% dân số dự định mua tài sản kỹ thuật số trong tương lai gần. Như vậy, gần ¼ của một tỷ nạn nhân tiềm năng có thể sớm rơi vào tầm ngắm của các hacker.

Các ứng dụng trên Google Play và App Store

Lời khuyên:

  • Không được cài đặt các ứng dụng di động khi không cần sử dụng
  • Thêm hai yếu tố xác minh cho tất cả các ứng dụng trên điện thoại thông minh
  • Hãy chắc chắn kiểm tra các liên kết đến các ứng dụng trên trang web chính thức của dự án

Nạn nhân của hacker thường là chủ sở hữu điện thoại thông minh với hệ điều hành Android, không sử dụng Two Factor Authentication (2FA), là ứng dụng mà không chỉ yêu cầu mật khẩu và tên người dùng, mà còn có thể thông báo khi tài khoản bị đăng nhập ngay lập tức. Theo Forbes, vấn đề là hệ điều hành mở của Google Android làm cho virus dễ tiếp cận với các ứng dụng hơn và do đó kém an toàn hơn so với iPhone. Hacker thêm các ứng dụng về crypto vào cửa hàng Google Play. Khi ứng dụng được khởi động, người dùng nhập dữ liệu an toàn để truy cập vào tài khoản của họ và nhờ đó cho phép hacker truy cập vào tài khoản người dùng.

Một trong những phi vụ nổi tiếng nhất về tấn công của loại hình này là sàn giao dịch của Poloniex - sàn giao dịch cryptocurrency Mỹ - đã bị làm giả ứng dụng di động đăng trên Google Play, giả vờ là cổng di động cho sàn giao dịch crypto. Đội ngũ Poloniex đã không phát triển các ứng dụng cho Android và trang web của họ không có liên kết đến bất kỳ ứng dụng dành cho thiết bị di động nào. Theo Lukas Stefanko, một nhà phân tích phần mềm độc hại tại ESET, 5.500 nhà giao dịch đã bị ảnh hưởng bởi phần mềm độc hại trước khi phần mềm này bị xóa khỏi Google Play.

Tiếp theo đó, người dùng thiết bị IOS thường xuyên tải các ứng dụng từ cửa hàng ứng dụng với các người đào ẩn. Apple thậm chí còn buộc phải thắt chặt các quy tắc để nhập các ứng dụng vào cửa hàng của mình để bằng cách nào đó ngăn chặn sự xâm nhập của các phần mềm như vậy. Nhưng đây là một câu chuyện hoàn toàn khác, thiệt hại từ nó là không thể so sánh với việc hack wallet. Vì người đào ẩn chỉ làm chậm hoạt động của máy tính.

Bots in Slack

Lời khuyên:

  • Trình báo Slack-bot để ngăn chặn
  • Bác bỏ các hoạt động của bot
  • Bảo vệ kênh Slack với các chương trình bảo mật của Metacert hoặc Webroot, phần mềm chống vi-rút Avira hoặc thậm chí các web tích hợp duyệt sẵn an toàn của Google.

Kể từ giữa năm 2017, các chương trình Slack nhằm ăn cắp tiền mã hoá đã trở thành tai họa của cộng đồng. Thông thường, hacker tạo ra một bot thông báo cho người dùng về các vấn đề với crypto của họ. Mục tiêu là buộc mọi người phải nhấp vào liên kết và nhập khóa cá nhân. Với tốc độ xuất hiện các bot, chúng sẽ bị chặn bởi người dùng. Mặc dù cộng đồng thường phản ứng nhanh chóng và hacker phải từ bỏ, nhưng sau đó chúng lại hoạt động lại để kiếm tiền.

sau-cong-cu-duoc-su-dung-boi-hacker-de-an-cap-cryptocurrency-cach-bao-ve-wallet-8

Cuộc tấn công thành công lớn nhất của hacker thông qua Slack là của nhóm Enigma hack. Những kẻ tấn công đã sử dụng tên của Enigma - đang tổ chức pre-sale - để khởi động bot Slack và cuối cùng đã đánh lừa tổng cộng $500.000 Ethereum từ những người dùng.

Add-on cho giao dịch crypto

Lời khuyên:

  • Sử dụng trình duyệt riêng cho các hoạt động về cryptocurrency
  • Chọn chế độ ẩn danh
  • Không tải bất kỳ tiện ích bổ sung crypto nào
  • Tạo một PC hoặc điện thoại thông minh riêng cho giao dịch crypto
  • Tải chống vi-rút và cài đặt bảo vệ mạng

Các trình duyệt Internet cung cấp các tiện ích mở rộng để tùy chỉnh giao diện cho người dùng có thể làm việc thoải mái hơn với các sàn giao dịch và wallet. Và vấn là không phải là các tiện ích đều hiểu tất cả mọi thứ mà bạn đang gõ trong khi sử dụng internet. Các phần mở rộng đó được phát triển trên JavaScript, điều này khiến chúng cực kỳ dễ bị tấn công. Lý do là, trong thời gian gần đây với sự phổ biến của Web 2.0, Ajaxcác ứng dụng internet ngày càng phong phú, JavaScript và các lỗ hổng của nó đã trở nên rất phổ biến trong các tổ chức, đặc biệt là những người Ấn Độ. Ngoài ra, nhiều tiện ích mở rộng có thể được sử dụng cho khai thác ẩn.

Xác thực bằng SMS

Lời khuyên:

  • Tắt cuộc gọi chuyển tiếp để ngăn chặn  kẻ tấn công có thể truy cập vào dữ liệu của bạn
  • Chặn 2FA qua SMS khi mật khẩu được gửi bằng văn bản và sử dụng giải pháp phần mềm nhận dạng hai yếu tố

Nhiều người dùng chọn sử dụng xác thực thiết bị di động vì chúng thự sự dễ dàng sử dung và tiện lợi. Positive Technologies, một công ty chuyên về an ninh mạng, đã thực hiện cách để chặn một tin nhắn SMS với một xác nhận mật khẩu và truyền thực tế trên toàn thế giới bởi các tín hiệu bằng Signaling System 7 (SS7). Các chuyên gia đã có thể chiếm các tin nhắn văn bản bằng cách sử dụng công cụ nghiên cứu của riêng họ để khai thác các điểm yếu trong mạng di động nhằm chặn các tin nhắn văn bản trong tin nhắn. Một ví dụ được thực hiện bằng cách sử dụng tài khoản Coinbase thực sự gây sốc cho các nhà giao dịch.Positive Technologies đã nói, Điều này trông giống như một lỗ hổng của Coinbase, nhưng điểm yếu thực sự là trong chính hệ thống di động. Điều này chứng minh rằng bất kỳ hệ thống nào cũng có thể được truy cập trực tiếp qua tin nhắn SMS, ngay cả khi 2FA được sử dụng.

Wi-Fi công cộng

Lời khuyên:

  • Không thực hiện giao dịch crypto qua Wi-Fi công cộng, ngay cả khi bạn đang sử dụng VPN
  • Thường xuyên cập nhật phần mềm thiết bị là việc mà các nhà sản xuất phần cứng liên tục nhắc nhở nhằm bảo vệ hệ thống thiết bị.

Trở lại vào tháng 10 năm ngoái, trong giao thức Wi-Fi Protected Access (WPA) - sử dụng bộ định tuyến - một lỗ hổng không thể khôi phục được tìm thấy. Sau khi thực hiện KRACK attack cơ bản (một cuộc tấn công với việc cài đặt lại khóa), thiết bị của người dùng kết nối lại với cùng một mạng Wi-Fi của hacker. Tất cả thông tin được tải xuống hoặc gửi qua mạng bởi người dùng thì kẻ tấn công đều có thể nhìn thấy, bao gồm cả khóa cá nhân từ crypto wallet. Vấn đề này đặc biệt cấp bách đối với mạng Wi-Fi công cộng tại các ga đường sắt, sân bay, khách sạn và những nơi có nhiều người lui tới.

Trang web nhân bản và lừa đảo

Lời khuyên:

  • Không tương tác với các trang web có liên quan đến cryptocurrency mà không có giao thức HTPPS
  • Khi sử dụng Chrome, hãy tùy chỉnh tiện ích mở rộng, ví dụ: Cryptonite - hiển thị địa chỉ của menu phụ
  • Khi nhận tin nhắn từ bất kỳ nguồn nào có liên quan đến crypto, hãy sao chép liên kết đến trường địa chỉ của trình duyệt và so sánh nó với địa chỉ của trang gốc
  • Nếu có điều gì đó có vẻ đáng ngờ, hãy đóng cửa sổ và xóa thư khỏi hộp thư đến của bạn

Những phương pháp hack cũ này đã được biết đến từ "cuộc cách mạng dotcom", nhưng có vẻ như chúng vẫn đang hoạt động. Trong trường hợp đầu tiên, kẻ tấn công tạo bản sao đầy đủ của các trang gốc trên các tên miền bị tắt chỉ bằng một chữ cái. Mục tiêu của thủ thuật này - bao gồm cả việc thay thế địa chỉ trong trường địa chỉ trình duyệt - là thu hút người dùng vào trang sao chép và buộc họ nhập mật khẩu của tài khoản hoặc khóa an toàn. Trong trường hợp thứ hai, họ gửi một email - theo thiết kế - sao chép chính xác các chữ cái của dự án chính thức, nhưng trên thực tế nó nhằm buộc bạn nhấp vào liên kết và nhập dữ liệu cá nhân của bạn. Theo Chainalysis, những kẻ lừa đảo sử dụng phương pháp này đã đánh cắp $225 triệu cryptocurrency .

Cryptojacking, khai thác ẩn và ý thức từ người dùng

Tin tốt là hacker đang dần bỏ qua các cuộc tấn công trên wallet vì sự ngăn chặn ngày càng tăng của các dịch vụ tiền mã hoá và mức độ hiểu biết ngày càng tăng của người dùng. Có lẽ hacker đang dần chuyển hướng sang đào ẩn.

Theo McAfee Labs, trong quý đầu tiên của năm 2018, 2,9 triệu mẫu phần mềm virus cho hidden mining đã được đăng ký trên toàn thế giới. Con số này tăng 625% so với quý trước năm 2017. Phương pháp này được gọi là  cryptojacking và nó đã thu hút các hacker vì sự đơn giản của nó.

Tin xấu là hoạt động của hacker vẫn chưa có dấu hiệu giảm sút. Các chuyên gia của công ty Carbon Black - hoạt động về an ninh mạng - đã tiết lộ rằng, tính đến tháng 7 năm 2018, có khoảng 12.000 nền tảng giao dịch trên dark web đã bán khoảng 34.000 phần mềm cho hacker. Giá trung bình cho phần mềm tấn công độc hại được bán trên một chương trình như vậy là khoảng $224.

sau-cong-cu-duoc-su-dung-boi-hacker-de-an-cap-cryptocurrency-cach-bao-ve-wallet-2

Nhưng làm thế nào nó được đưa vào máy tính của chúng ta? Hãy quay lại tin tức mà chúng ta đã bắt đầu. Vào ngày 27 tháng 6, người dùng đã bắt đầu để lại nhận xét trên diễn đàn Malwarebytes về một chương trình có tên All-Radio 4.27 Portable đã được cài đặt vô tình trên thiết bị của họ. Tình hình trở nên phức tạp do không thể loại bỏ nó. Mặc dù, ở dạng ban đầu của nó, phần mềm này có vẻ vô hại, phiên bản của nó đã được sửa đổi bởi các hacker thành một ứng dụng hoàn chỉnh gây khó chịu cho người dùng.

Tất nhiên, phần mềm này chứa một trình đào ẩn, nhưng nó chỉ làm chậm máy tính. Đối với chương trình giám sát clipboard, nó thay thế các địa chỉ khi người dùng sao chép và dán mật khẩu, và nó đã thu thập được 2.343,286 wallet Bitcoin. Đây là lần đầu tiên các hacker chứng minh một cơ sở dữ liệu khổng lồ về các chủ sở hữu crypto và cho đến nay, các chương trình như vậy đã chứa một tập hợp các địa chỉ khổng lồ.

Sau khi thay thế dữ liệu, người dùng tự nguyện chuyển tiền vào địa chỉ wallet của kẻ tấn công. Cách duy nhất để bảo vệ các quỹ chống lại điều này là kiểm tra lại địa chỉ đã nhập khi truy cập trang web, điều này không dễ chịuchút nào, nhưng nó thật sự đáng tin cậy và có thể trở thành một thói quen hữu ích.

Sau khi đặt câu hỏi cho nạn nhân của All-Radio 4.27 Portable, người ta phát hiện ra rằng phần mềm mã độc này có trên máy tính của họ là kết quả của hành động bộc phát. Khi các chuyên gia từ Malwarebytes và Bleeping Computer phát hiện ra, mọi người sử dụng các chương trình nói chuyện phiếm và trò chơi được cấp phép, cũng như các trình kích hoạt Windows như KMSpico chẳng hạn. Vì vậy, hacker đã chọn nạn nhân là những người có ý thức vi phạm bản quyền và các quy tắc bảo mật.

Chuyên gia nổi tiếng về phần mềm mã độc trên Mac Patrick Wardle thường viết trong blog của mình rằng nhiều virus được gửi tới người dùng thiếu sự hiểu biết. Thật ngớ ngẩn để trở thành một nạn nhân của các cuộc tấn công như vậy. Do đó, trong kết luận, chúng tôi muốn nhắc bạn về lời khuyên từ Bryan Wallace, Cố vấn doanh nghiệp của Google:

“Mã hóa, phần mềm diệt vi-rút và xác định đa yếu tố sẽ chỉ giữ cho tài sản của bạn an toàn đến một điểm nhất định. Biện pháp phòng ngừa và tính cảnh giác là những điều đơn giản nhưng cần thiết. ”

Dịch và chỉnh sửa theo nguồn: cointelegraph.com

Đánh giá

Để lại ý kiến của bạn:

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *